ویروس رمزگذار فایل Wanna Cry - چگونه از خود محافظت کنید و داده ها را ذخیره کنید. ویروس Wanna Cry - توضیحات، نحوه عملکرد، درمان - چگونه از خود محافظت کنید

این مقاله در رابطه با حمله گسترده هکرها در مقیاس جهانی تهیه شده است که ممکن است شما را نیز تحت تاثیر قرار دهد. عواقب آن واقعاً جدی می شود. در زیر شرح مختصری از مشکل و تشریح اقدامات اصلی که برای محافظت در برابر ویروس‌های باج‌افزار خانواده WannaCry باید انجام شود را خواهید دید.

باج افزار WannaCry از آسیب پذیری سوء استفاده می کند مایکروسافت ویندوز MS17-010برای اجرای کدهای مخرب و اجرای باج‌افزار بر روی رایانه‌های شخصی آسیب‌پذیر، ویروس پیشنهاد می‌کند برای رمزگشایی داده‌ها حدود 300 دلار به مهاجمان بپردازد. این ویروس به طور گسترده در سراسر جهان گسترش یافته است و پوشش فعالی در رسانه ها دریافت کرده است - Fontanka.ru، Gazeta.ru، RBC.

این آسیب پذیری رایانه های شخصی با سیستم عامل ویندوز نصب شده از XP تا Windows 10 و Server 2016 را تحت تأثیر قرار می دهد؛ می توانید اطلاعات رسمی مربوط به آسیب پذیری را از مایکروسافت و.

این آسیب پذیری متعلق به کلاس است اجرای کد از راه دور، به این معنی که عفونت را می توان از یک رایانه شخصی که قبلاً آلوده شده است از طریق شبکه ای با سطح امنیتی پایین بدون بخش بندی ME - شبکه های محلی، شبکه های عمومی، شبکه های مهمان و همچنین با راه اندازی بدافزار دریافتی از طریق پست یا پیوند انجام داد.

تمهیدات امنیتی

چه اقداماتی باید به عنوان موثر برای مبارزه با این ویروس شناسایی شود:

1. مطمئن شوید که آخرین به‌روزرسانی‌های ویندوز مایکروسافت را برای حذف آسیب‌پذیری MS17-010 نصب کرده‌اید. می‌توانید لینک‌های به‌روزرسانی‌ها را بیابید و همچنین توجه داشته باشید که با توجه به جدیت بی‌سابقه این آسیب‌پذیری، به‌روزرسانی‌های سیستم‌عامل‌های پشتیبانی‌نشده (ویندوز ایکس پی، سرور ۲۰۰۳، سرور ۲۰۰۸) در ۱۳ می منتشر شد، می‌توانید آن‌ها را دانلود کنید.
2. هنگام استفاده از راه‌حل‌های امنیت شبکه کلاس IPS، مطمئن شوید که به‌روزرسانی‌هایی را نصب کرده‌اید که شامل تشخیص آسیب‌پذیری شبکه و کاهش آن می‌شود. این آسیب‌پذیری در پایگاه دانش Check Point توضیح داده شده است؛ این آسیب‌پذیری در به‌روزرسانی IPS مورخ ۱۴ مارس ۲۰۱۷، Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143) گنجانده شده است. ما همچنین توصیه می کنیم اسکن ترافیک داخلی را در بخش های کلیدی شبکه با استفاده از IPS، حداقل برای مدت کوتاهی، تا زمانی که احتمال آلودگی کاهش یابد، راه اندازی کنید.
3. با توجه به احتمال تغییر در کد ویروس، توصیه می‌کنیم سیستم‌های AntiBot&Antivirus را فعال کنید و راه‌اندازی فایل‌هایی را که از منابع خارجی از طریق پست یا اینترنت می‌آیند شبیه‌سازی کنید. اگر شما یک کاربر Check Point Security Gateway هستید، پس این سیستم Threat Emulation است. به خصوص برای شرکت هایی که این اشتراک را ندارند، ما اشتراک سریع را در دوره آزمایشی 30 روزه ارائه می دهیم. برای درخواست کلیدی که اشتراک با امکانات کامل را برای دروازه Check Point شما فعال می کند، به [ایمیل محافظت شده]می توانید اطلاعات بیشتری در مورد سیستم های شبیه سازی فایل و.

همچنین انتقال آرشیو رمز عبور را مسدود کنید و امضاهای IPS را از لیست فعال کنید:

حتی توصیه های بیشتر و نمونه ای از گزارش مسدود کردن کار باج افزار Wannacry.

همکاران عزیز، بر اساس تجربه کار با حملات گسترده قبلی مانند Heart Bleed، آسیب‌پذیری Microsoft Windows MS17-010 طی 30-40 روز آینده به طور فعال مورد سوء استفاده قرار می‌گیرد، اقدامات متقابل را به تعویق نیندازید! در هر صورت، عملکرد سیستم BackUp خود را بررسی کنید.

خطر واقعاً بزرگ است!

UPD. پنجشنبه 18 مه، ساعت 10:00 به وقت مسکو، شما را به یک وبینار در مورد باج افزار و روش های محافظت دعوت می کنیم.

این وبینار توسط TS Solution و Sergey Nevstruev، مدیر فروش پیشگیری از تهدید نقطه چک در اروپای شرقی برگزار می شود.
به سوالات زیر می پردازیم:

• حمله #WannaCry
• دامنه و وضعیت فعلی
• ویژگی های خاص
• عوامل انبوه

توصیه های امنیتی

چگونه یک قدم جلوتر باشیم و آرام بخوابیم

• IPS+AM
• SandBlast: Threat Emulation و Threat Extraction
• SandBlast Agent: Anti-Ransomware
• عامل سندبلاست: پزشکی قانونی
• SandBlast Agent: Anti-Bot

برای ثبت نام می توانید به این نامه پاسخ دهید و یا از طریق لینک ثبت نام اقدام کنید

سلام به همه! اخیراً، اینترنت به دلیل رویدادی که رایانه های بسیاری از شرکت ها و کاربران خصوصی را تحت تأثیر قرار داد، آشفته شد. همه اینها به دلیل ظهور ویروس Wanna Cry است که در مدت کوتاهی به سرعت به تعداد زیادی رایانه در کشورهای مختلف جهان نفوذ کرده و آنها را آلوده کرد. در حال حاضر، شیوع این ویروس کاهش یافته است، اما به طور کامل متوقف نشده است. به همین دلیل، کاربران به طور دوره ای در دام آن می افتند و نمی دانند چه کاری انجام دهند، زیرا همه برنامه های آنتی ویروس قادر به خنثی کردن آن نیستند. بر اساس اطلاعات اولیه، بیش از 200 هزار رایانه در سراسر جهان مورد حمله قرار گرفتند. ویروس Wanna Cry به درستی می تواند جدی ترین تهدید سال جاری در نظر گرفته شود و شاید رایانه شما در مسیر بعدی قرار گیرد. بنابراین، بیایید نگاهی دقیق تر به نحوه انتشار این کد مخرب بیندازیم و چگونه می توانید با آن مبارزه کنید.

همانطور که کاربران روسی این ویروس را نیز می نامند، "Vona Krai" به نوعی بدافزار اشاره دارد که مانند یک تروجان روی رایانه ای قرار می گیرد و شروع به اخاذی از کاربر رایانه شخصی می کند. اصل عملکرد آن به این صورت است: یک بنر روی دسکتاپ رایانه ظاهر می شود که تمام کارهای کاربر را مسدود می کند و از او دعوت می کند تا یک پیام اس ام اس پولی برای رفع مسدودیت ارسال کند. در صورت امتناع کاربر از پرداخت پول، اطلاعات موجود در رایانه بدون امکان بازیابی رمزگذاری می شود. به طور معمول، اگر هیچ اقدامی انجام ندهید، می توانید با تمام اطلاعات ذخیره شده در هارد دیسک خداحافظی کنید.

در واقع، ویروس Wanna Cry را می‌توان به عنوان گروهی از ویروس‌ها، مسدودکننده‌های باج‌افزار، دسته‌بندی کرد که به‌طور دوره‌ای اعصاب بسیاری از کاربران را خرد می‌کنند.

آفت جدید چگونه کار می کند؟

هنگامی که روی رایانه قرار می گیرد، به سرعت اطلاعات موجود در هارد دیسک را رمزگذاری می کند.

پس از این، یک پیام ویژه روی دسکتاپ ظاهر می شود که در آن از کاربر خواسته می شود تا 300 دلار آمریکا برای رمزگشایی فایل ها توسط برنامه بپردازد. اگر کاربر برای مدت طولانی فکر کند و پول به کیف پول الکترونیکی ویژه بیت کوین نرسد، مبلغ باج دو برابر می شود و او باید 600 دلار بپردازد که حدود 34000 هزار روبل در پول ما است که مبلغ مناسبی است. اینطور نیست؟

پس از هفت روز، اگر کاربر پاداشی برای رمزگشایی فایل‌ها ارسال نکند، آن فایل‌ها برای همیشه توسط باج‌افزار حذف می‌شوند.

ویروس Wanna Cry تقریباً با تمام انواع فایل های مدرن کار می کند. در اینجا لیست کوچکی از برنامه‌های افزودنی که در معرض خطر هستند وجود دارد: xlsx، .xls، .docx، .doc، .mp4، mkv.mp3، .wav، .swf، .mpeg، .avi، .mov، .mp4 ، .3gp، mkv.، .flv، .wma، .mid، .djvu، .png، .jpg، .jpeg، .iso، zip.

همانطور که می بینید، این لیست کوچک حاوی تمام فایل های محبوبی است که ویروس می تواند آنها را رمزگذاری کند.

خالق ویروس Wanna Cry کیست؟

به گفته آژانس امنیت ملی ایالات متحده آمریکا، قبلاً یک کد برنامه به نام "آبی ابدی" کشف شده بود، اگرچه اطلاعات مربوط به این کد برای استفاده در منافع شخصی پنهان شده بود. قبلاً در آوریل سال جاری، جامعه هکرها اطلاعاتی را در مورد این سوء استفاده منتشر کرد.

به احتمال زیاد خالق سرزمین از این کد برای نوشتن یک ویروس بسیار موثر استفاده کرده است. در حال حاضر، هنوز مشخص نشده است که نویسنده اصلی این باج افزار کیست.

ویروس Wanna Cry چگونه پخش می شود و به رایانه شما راه می یابد؟

اگر هنوز در دام ویروس Wanna Cry نیفتاده اید، پس مراقب باشید. اغلب از طریق ایمیل های همراه با پیوست توزیع می شود.

بیایید چنین وضعیتی را تصور کنیم! شما یک پیام ایمیل دریافت می‌کنید، شاید حتی از طرف کاربری که می‌شناسید، که حاوی صدای ضبط شده، کلیپ ویدیویی یا عکس است. پس از باز کردن نامه، کاربر با خوشحالی روی پیوست کلیک می‌کند و متوجه این واقعیت نمی‌شود که فایل پسوند exe دارد. یعنی در اصل، خود کاربر شروع به نصب برنامه می کند، در نتیجه فایل های رایانه آلوده می شوند و با استفاده از کدهای مخرب، ویروسی دانلود می شود که داده ها را رمزگذاری می کند.

توجه داشته باشید! می‌توانید با دانلود فایل‌ها از ردیاب‌های تورنت یا با دریافت پیام شخصی در شبکه‌های اجتماعی یا پیام‌رسان‌های فوری، رایانه‌تان را با مسدودکننده Vona Krai آلوده کنید.

چگونه از کامپیوتر خود در برابر ویروس Wanna Cry محافظت کنیم؟

احتمالاً یک سؤال منطقی در ذهن شما ایجاد شده است: "چگونه از خود در برابر ویروس Wanna Cry محافظت کنیم؟"

در اینجا من می توانم چندین روش اساسی را به شما ارائه دهم:

• از آنجایی که توسعه دهندگان مایکروسافت به طور جدی نگران اقدامات این ویروس بودند، بلافاصله یک به روز رسانی برای تمام نسخه های سیستم عامل ویندوز منتشر کردند. بنابراین، برای محافظت از رایانه شخصی خود در برابر این آفت، باید فوراً یک وصله امنیتی را دانلود و نصب کنید.
• به دقت نظارت کنید که چه نامه هایی از طریق ایمیل دریافت می کنید. اگر ایمیلی با پیوست دریافت می کنید، حتی از طرف مخاطبی که می شناسید، به پسوند فایل توجه کنید. تحت هیچ شرایطی فایل های دانلود شده را با پسوند: exe باز نکنید. vbs. .scr. پسوند همچنین می تواند پنهان شود و مانند این باشد: avi.exe; doc.scr ;
• برای جلوگیری از افتادن در چنگال ویروس، نمایش پسوند فایل ها را در تنظیمات سیستم عامل فعال کنید. این به شما این امکان را می دهد که ببینید چه نوع فایل هایی را می خواهید اجرا کنید. نوع فایل های ماسک شده نیز به وضوح قابل مشاهده خواهد بود.
• نصب حتی خود L به احتمال زیاد وضعیت را نجات نمی دهد، زیرا ویروس از آسیب پذیری های سیستم عامل برای دسترسی به فایل ها استفاده می کند. بنابراین، اول از همه، تمام به روز رسانی ها را برای ویندوز نصب کنید و تنها پس از آن نصب کنید.
• در صورت امکان، تمام اطلاعات مهم را به یک هارد دیسک خارجی انتقال دهید. این شما را از از دست دادن اطلاعات محافظت می کند.
• اگر ثروت به شما پشت کرده است و تحت تأثیر ویروس Wanna Cry قرار گرفته اید، برای خلاص شدن از شر آن، سیستم عامل را دوباره نصب کنید.
• پایگاه داده های ویروس آنتی ویروس های نصب شده خود را به روز نگه دارید.
• توصیه می‌کنم برنامه رایگان Kaspersky Anti-Ransom را دانلود و نصب کنید. این ابزار به شما اجازه می دهد تا از رایانه خود در زمان واقعی در برابر مسدود کننده های باج افزار مختلف محافظت کنید.

وصله ویندوز از Wanna Cry برای جلوگیری از بیمار شدن رایانه شما.

اگر رایانه شما دارای سیستم عامل نصب شده است:

• ویندوز XP؛
• ویندوز 8؛
• ویندوز سرور 2003;
• ویندوز تعبیه شده است

با نصب این پچ، می توانید آن را از لینک موجود در وب سایت رسمی مایکروسافت دانلود کنید.

برای تمام نسخه های دیگر سیستم عامل ویندوز، نصب تمام به روز رسانی های موجود کافی است. با این به روز رسانی ها سوراخ های سیستم امنیتی ویندوز را می بندید.

حذف ویروس Wanna Cry

برای حذف باج افزار، از یکی از بهترین ابزارهای حذف بدافزار استفاده کنید.

توجه داشته باشید! پس از اجرای برنامه آنتی ویروس، فایل های رمزگذاری شده رمزگشایی نمی شوند. و به احتمال زیاد باید آنها را حذف کنید.

آیا امکان رمزگشایی فایل‌ها پس از Wanna Cry وجود دارد؟

به عنوان یک قاعده، مسدودکننده‌های باج‌افزار، که شامل «بر روی لبه» ما هستند، فایل‌ها را با استفاده از کلیدهای ۱۲۸ و ۲۵۶ بیت رمزگذاری می‌کنند. در عین حال، کلید هر کامپیوتر منحصر به فرد است و هیچ جا تکرار نمی شود. بنابراین، اگر سعی کنید چنین داده هایی را در خانه رمزگشایی کنید، صدها سال طول می کشد.

در حال حاضر، حتی یک رمزگشای Wanna Cry در طبیعت وجود ندارد. بنابراین، پس از اجرای ویروس، هیچ کاربری قادر به رمزگشایی فایل‌ها نخواهد بود. بنابراین، اگر هنوز قربانی آن نشده اید، توصیه می کنم مراقب امنیت رایانه خود باشید؛ اگر بدشانس هستید، چندین گزینه برای حل مشکل وجود دارد:

• دیه را پرداخت کنید. در اینجا شما با خطر و خطر خود پول می دهید. از آنجایی که هیچ کس به شما تضمین نمی دهد که پس از ارسال پول، برنامه قادر خواهد بود همه فایل ها را رمزگشایی کند.
• اگر ویروس از رایانه شما عبور نکرده است، می توانید به سادگی هارد دیسک را جدا کرده و آن را در قفسه ای دور قرار دهید تا زمانی که رمزگشا ظاهر شود. در حال حاضر وجود ندارد، اما به احتمال زیاد در آینده نزدیک ظاهر خواهد شد. می‌خواهم رازی را به شما بگویم که رمزگشاها توسط آزمایشگاه کسپرسکی توسعه یافته و در وب‌سایت No Ramsom ارسال می‌شوند.
• برای کاربران آنتی ویروس دارای مجوز کسپرسکی، می توان برای رمزگشایی فایل هایی که توسط ویروس Wanna Cry رمزگذاری شده اند، استفاده کرد.
• اگر چیز مهمی روی هارد دیسک رایانه شخصی شما وجود ندارد، آن را فرمت کنید و یک سیستم عامل تمیز نصب کنید.

ویروس Wanna Cry در روسیه.

من نموداری را ارائه می کنم که به وضوح نشان می دهد که بیشترین تعداد رایانه ها تحت تأثیر ویروس در قلمرو فدراسیون روسیه قرار گرفته اند.

به احتمال زیاد، این اتفاق افتاده است زیرا کاربران روسی علاقه خاصی به خرید نرم افزار دارای مجوز ندارند و اغلب از نسخه های غیرقانونی سیستم عامل ویندوز استفاده می کنند. به همین دلیل، سیستم به روز نمی شود و در برابر ویروس ها بسیار آسیب پذیر است.

چنین رایانه هایی از ویروس Wanna Cry در امان نماندند. توصیه می کنم یک نسخه مجوزدار از سیستم عامل را نصب کنید و به روز رسانی خودکار را خاموش نکنید.

به هر حال، نه تنها رایانه های کاربران خصوصی تحت تأثیر مسدود کننده "Vona Krai" قرار گرفتند، بلکه سازمان های دولتی مانند وزارت امور داخلی، وزارت شرایط اضطراری، بانک مرکزی و همچنین شرکت های خصوصی بزرگ مانند به عنوان اپراتور تلفن همراه Megafon، Sberbank روسیه و راه آهن روسیه "

همانطور که در بالا گفتم، امکان محافظت از خود در برابر نفوذ ویروس وجود داشت. بنابراین در ماه مارس سال جاری، مایکروسافت به‌روزرسانی‌های امنیتی ویندوز را منتشر کرد. درست است، همه کاربران آن را نصب نکردند، به همین دلیل در تله افتادند.

اگر از نسخه قدیمی سیستم عامل استفاده می کنید، پس حتماً پچی را که در پاراگراف بالا در مورد آن نوشتم دانلود و نصب کنید.

بیایید خلاصه کنیم.

در مقاله امروز درباره ویروس جدید Wanna Cry با شما صحبت کردیم. من سعی کردم تا حد امکان با جزئیات بیشتر توضیح دهم که این آفت چیست و چگونه می توانید از خود در برابر آن محافظت کنید. همچنین، اکنون می دانید که از کجا می توانید یک وصله را دانلود کنید که سوراخ های سیستم امنیتی ویندوز را می بندد.

در 12 می، حدود ساعت 1:00 بعد از ظهر، ویروس Wana Decryptor شروع به انتشار کرد. تقریباً در چند ساعت، ده‌ها هزار رایانه در سراسر جهان آلوده شدند. تا به امروز، بیش از 45000 کامپیوتر آلوده تایید شده است.

با بیش از 40 هزار هک در 74 کشور، کاربران اینترنت در سراسر جهان شاهد بزرگترین حمله سایبری تاریخ بودند. لیست قربانیان نه تنها شامل افراد عادی، بلکه سرورهای بانک ها، شرکت های مخابراتی و حتی سازمان های مجری قانون نیز می شود.

رایانه‌های کاربران عادی و رایانه‌های کاری در سازمان‌های مختلف، از جمله وزارت امور داخلی روسیه، به ویروس باج‌افزار Wanna Cry آلوده شده‌اند. متأسفانه در حال حاضر هیچ راهی برای رمزگشایی فایل های WNCRY وجود ندارد، اما می توانید سعی کنید فایل های رمزگذاری شده را با استفاده از برنامه هایی مانند ShadowExplorer و PhotoRec بازیابی کنید.

وصله های رسمی مایکروسافت برای محافظت در برابر ویروس Wanna Cry:

• ویندوز 7 32bit/x64
• ویندوز 10 32bit/x64
• Windows XP 32 bit/x64 - بدون وصله از WCry.

چگونه از خود در برابر ویروس Wanna Cry محافظت کنیم؟

با دانلود یک پچ برای نسخه ویندوز خود می توانید از خود در برابر ویروس Wanna Cry محافظت کنید.

نحوه انتشار Wanna Cry

Wanna Cry توزیع شده است:

• از طریق فایل ها
• پیام های پستی

همانطور که رسانه های روسی گزارش داده اند، کار ادارات وزارت امور داخلی در چندین منطقه روسیه به دلیل باج افزاری که بسیاری از رایانه ها را آلوده کرده و همه داده ها را تهدید می کند مختل شده است. علاوه بر این، اپراتور ارتباطات مگافون مورد حمله قرار گرفت.

ما در مورد تروجان باج افزار WCry (WannaCry یا WannaCryptor) صحبت می کنیم. او اطلاعات را روی رایانه رمزگذاری می کند و برای رمزگشایی 300 یا 600 دلار بیت کوین باج می خواهد.
کاربران معمولی نیز عفونت ها را در انجمن ها و شبکه های اجتماعی گزارش می کنند:

اپیدمی رمزگذاری WannaCry: برای جلوگیری از عفونت چه باید کرد. راهنمای گام به گام

در شامگاه 12 می، یک حمله باج‌افزار WannaCryptor (WannaCry) در مقیاس بزرگ کشف شد که تمام داده‌های رایانه‌های شخصی و لپ‌تاپ‌های دارای ویندوز را رمزگذاری می‌کند. این برنامه 300 دلار بیت کوین (حدود 17000 روبل) به عنوان باج برای رمزگشایی می خواهد.

ضربه اصلی به کاربران و شرکت های روسی وارد شد. در حال حاضر، WannaCry موفق شد حدود 57000 رایانه از جمله شبکه های شرکتی وزارت امور داخلی، راه آهن روسیه و مگافون را آلوده کند. Sberbank و وزارت بهداشت نیز حملاتی را به سیستم های خود گزارش کردند.

ما به شما می گوییم که در حال حاضر برای جلوگیری از عفونت چه کاری باید انجام دهید.

1. رمزگذار از یک آسیب پذیری مایکروسافت در مارس 2017 سوء استفاده می کند. برای به حداقل رساندن تهدید، باید فوراً نسخه ویندوز خود را به روز کنید:

شروع - همه برنامه ها - به روز رسانی ویندوز - جستجو برای به روز رسانی ها - دانلود و نصب کنید

2. حتی اگر سیستم به‌روزرسانی نشده باشد و WannaCry به رایانه وارد شود، راه‌حل‌های شرکتی و خانگی ESET NOD32 با موفقیت همه تغییرات آن را شناسایی کرده و مسدود می‌کنند.

5. برای شناسایی تهدیدات هنوز ناشناخته، محصولات ما از فناوری های رفتاری و اکتشافی استفاده می کنند. اگر یک ویروس مانند یک ویروس رفتار کند، به احتمال زیاد یک ویروس است. بنابراین، سیستم ابری ESET LiveGrid با موفقیت حمله را از 12 می دفع کرد، حتی قبل از به روز رسانی پایگاه داده امضا.

نام صحیح ویروس Wana Decryptor، WanaCrypt0r، Wanna Cry یا Wana Decrypt0r چیست؟

از زمان اولین کشف این ویروس، پیام‌های مختلفی در مورد این ویروس باج‌افزار در شبکه ظاهر شده و اغلب با نام‌های مختلفی از آن نام برده می‌شود. این به چند دلیل اتفاق افتاد. قبل از اینکه خود ویروس Wana Decrypt0r ظاهر شود، اولین نسخه آن وجود داشت Wanna Decrypt0r، تفاوت اصلی در روش توزیع است. این نوع اول به اندازه برادر کوچکترش شناخته شده نبود، اما به همین دلیل، در برخی گزارش های خبری، ویروس باج افزار جدید با نام برادر بزرگترش، یعنی Wanna Cry، Wanna Decryptor نامیده می شود.

اما هنوز نام اصلی است Wana Decrypt0r، اگرچه اکثر کاربران به جای عدد "0" حرف "o" را تایپ می کنند که ما را به نام هدایت می کند رمزگشای Wanaیا WanaDecryptor.

و نام خانوادگی که کاربران اغلب این ویروس باج افزار را با آن صدا می کنند این است ویروس WNCRY، یعنی توسط پسوندی که به نام فایل هایی که رمزگذاری شده اند اضافه می شود.

برای به حداقل رساندن خطر ورود ویروس Wanna Cru به رایانه شما، متخصصان آزمایشگاه کسپرسکی توصیه می کنند تمام به روز رسانی های ممکن را برای نسخه فعلی ویندوز نصب کنید. واقعیت این است که بدافزار فقط کامپیوترهایی را آلوده می کند که این نرم افزار را اجرا می کنند.

ویروس Wanna Cry: چگونه پخش می شود

قبلاً در مقاله ای درباره رفتار ایمن در اینترنت به این روش انتشار ویروس اشاره کردیم، بنابراین چیز جدیدی نیست.

Wanna Cry به شرح زیر توزیع می شود: نامه ای با یک پیوست "بی ضرر" به صندوق پستی کاربر ارسال می شود - می تواند یک تصویر، ویدئو، آهنگ باشد، اما به جای پسوند استاندارد برای این فرمت ها، پیوست یک پسوند فایل اجرایی خواهد داشت. - exe به گزارش therussiantimes.com، هنگامی که چنین فایلی باز و راه اندازی می شود، سیستم "آلوده می شود" و از طریق یک آسیب پذیری، یک ویروس مستقیماً در سیستم عامل ویندوز بارگذاری می شود و داده های کاربر را رمزگذاری می کند.

ویروس Wanna Cry: شرح ویروس

Wanna Cry (مردم عادی قبلاً به آن لقب Wona's Edge را داده‌اند) به دسته ویروس‌های باج‌افزار (کریپتورها) تعلق دارد که وقتی به رایانه شخصی وارد می‌شود، فایل‌های کاربر را با یک الگوریتم رمزنگاری رمزگذاری می‌کند و متعاقباً خواندن این فایل‌ها را غیرممکن می‌کند.
در حال حاضر، پسوندهای فایل محبوب زیر مشمول رمزگذاری Wanna Cry هستند:

فایل های محبوب Microsoft Office (xlsx.، گزارش therussiantimes.com.xls، .docx، .doc).
فایل های بایگانی و رسانه ای (.mp4، mkv.، mp3، .wav، .swf، .mpeg، .avi، .mov، .mp4، .3gp، mkv، .flv، .wma، .mid، .djvu، png، .jpg، .jpeg، .iso، .zip، .rar).

WannaCry برنامه ای به نام WanaCrypt0r 2.0 است که به طور انحصاری به رایانه های شخصی دارای سیستم عامل ویندوز حمله می کند. این برنامه از یک "حفره" در سیستم - Microsoft Security Bulletin MS17-010 استفاده می کند که وجود آن قبلاً ناشناخته بود. این برنامه برای رمزگشایی به باج 300 تا 600 دلاری نیاز دارد. به هر حال، در حال حاضر، به گفته گاردین، بیش از 42 هزار دلار در حال حاضر به حساب های هکرها واریز شده است.

ویروس باج افزار می خواهی گریه کنی، یا رمزگشای Wana، ده ها هزار کامپیوتر را در سراسر جهان تحت تاثیر قرار داد. در حالی که کسانی که مورد حمله قرار گرفتند منتظر راه حلی برای مشکل هستند، کاربرانی که هنوز تحت تأثیر قرار نگرفته اند باید از تمام خطوط دفاعی ممکن استفاده کنند. یکی از راه‌های خلاص شدن از شر آلودگی به ویروس و محافظت از خود در برابر انتشار WannaCry، بستن پورت‌های 135 و 445 است که نه تنها WannaCry، بلکه بیشتر تروجان‌ها، درب‌های پشتی و سایر برنامه‌های مخرب وارد رایانه شما می‌شوند. روش های مختلفی برای پوشاندن این حفره ها وجود دارد.

روش 1. محافظت در برابر WannaCry - با استفاده از فایروال

فایروال که به عنوان دیوار آتش نیز شناخته می شود، در معنای کلاسیک دیواری است که بخش هایی از ساختمان ها را جدا می کند تا از آتش محافظت کند. فایروال رایانه نیز به روشی مشابه کار می کند - با فیلتر کردن بسته های دریافتی از رایانه متصل به اینترنت در برابر اطلاعات غیر ضروری محافظت می کند. اکثر برنامه های فایروال را می توان به دقت تنظیم کرد، از جمله. و پورت های خاصی را ببندید.

انواع مختلفی از فایروال ها وجود دارد. ساده ترین فایروال یک ابزار استاندارد ویندوز است که حفاظت اولیه را فراهم می کند و بدون آن رایانه شخصی در حالت "تمیز" 2 دقیقه دوام نمی آورد. فایروال های شخص ثالث - مانند آنهایی که در برنامه های آنتی ویروس تعبیه شده اند - بسیار مؤثرتر هستند.

مزیت فایروال ها این است که تمام اتصالاتی را که با مجموعه قوانین مشخصی مطابقت ندارند مسدود می کنند. کار بر اساس اصل "هر چیزی که مجاز نیست ممنوع است". به همین دلیل، هنگام استفاده از فایروال برای محافظت در برابر ویروس WannaCry، به احتمال زیاد مجبور خواهید بود به جای بستن پورت های غیر ضروری، پورت های لازم را باز کنید. با باز کردن تنظیمات برنامه از طریق جستجو و رفتن به گزینه های اضافی می توانید مطمئن شوید که فایروال ویندوز 10 کار می کند. اگر پورت ها به صورت پیش فرض باز هستند، می توانید با ایجاد قوانین مناسب از طریق تنظیمات فایروال در قسمت اتصالات ورودی، 135 و 445 را ببندید.

با این حال، در برخی موارد نمی توان از فایروال استفاده کرد. بدون آن، محافظت در برابر بدافزار WannaCry دشوارتر خواهد بود، اما بستن آشکارترین حفره ها بدون مشکل امکان پذیر خواهد بود.

یک روش موثر محافظت در برابر Wana Descrypt0r در ویدیو نشان داده شده است!

روش 2. با Windows Worms Doors Cleaner از انتشار ویروس جلوگیری کنید

پاک کننده درب های کرم ویندوز- این برنامه ساده تنها 50 کیلوبایت وزن دارد و به شما امکان می دهد پورت های 135، 445 و برخی دیگر را با یک کلیک از ویروس WannaCry ببندید.

می توانید Windows Worms Doors Cleaner را از لینک زیر دانلود کنید: http://downloads.hotdownloads.ru/windows_worms_doors_cleaner/wwdc.exe

پنجره اصلی برنامه حاوی لیستی از پورت ها (135-139، 445، 5000) و اطلاعات مختصری در مورد آنها است - برای کدام سرویس ها استفاده می شود، خواه باز یا بسته باشند. در کنار هر پورت پیوندی به بیانیه‌های امنیتی رسمی مایکروسافت وجود دارد.

1. برای بستن پورت ها با استفاده از Windows Worms Doors Cleaner از WannaCry، باید روی دکمه Disable کلیک کنید.
2. پس از این، صلیب های قرمز با علامت های سبز جایگزین می شوند و پیام هایی ظاهر می شوند که نشان می دهد پورت ها با موفقیت مسدود شده اند.
3. پس از این، برنامه باید بسته شود و کامپیوتر دوباره راه اندازی شود.

روش 3. بستن پورت ها با غیرفعال کردن سرویس های سیستم

منطقی است که پورت ها نه تنها توسط ویروس هایی مانند WannaCry مورد نیاز هستند - در شرایط عادی آنها توسط سرویس های سیستمی که اکثر کاربران به آن نیاز ندارند استفاده می شوند و به راحتی غیرفعال می شوند. پس از این دیگر نیازی به باز شدن پورت ها نخواهد بود و بدافزارها نمی توانند به کامپیوتر نفوذ کنند.

بستن پورت 135

پورت 135 توسط سرویس استفاده می شود DCOM (COM توزیع شده)، که برای اتصال اشیاء در ماشین های مختلف در شبکه محلی مورد نیاز است. این فناوری عملاً در سیستم‌های مدرن استفاده نمی‌شود، بنابراین می‌توان سرویس را با خیال راحت غیرفعال کرد. این را می توان به دو روش انجام داد - با استفاده از یک ابزار ویژه یا از طریق رجیستری.

با استفاده از ابزار، سرویس به شرح زیر غیرفعال می شود:

در ویندوز سرور 2003 و سیستم‌های قدیمی‌تر، باید تعدادی عملیات اضافی انجام دهید، اما از آنجایی که ویروس WannaCry فقط برای نسخه‌های مدرن سیستم‌عامل خطرناک است، دست زدن به این نکته خالی از لطف نیست.

پورت برنامه ویروس WannaCry از طریق رجیستری به شرح زیر بسته می شود:

1. 1. ویرایشگر رجیستری شروع می شود (regedit در پنجره Run).
2. 2. کلید برای HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole جستجو می‌شود.
3. 3. پارامتر EnableDCOM از Y به N تغییر می کند.
4. 4. کامپیوتر ریستارت می شود.

شما فقط می توانید رجیستری را از یک حساب مدیر ویرایش کنید.

بستن پورت 445

پورت 445 توسط سرویس استفاده می شود NetBT- پروتکل شبکه ای که به برنامه های قدیمی که به API NetBIOS متکی هستند اجازه می دهد تا روی شبکه های مدرن کار کنند TCP/IP. اگر چنین نرم افزار باستانی روی رایانه وجود نداشته باشد، می توان پورت را با خیال راحت مسدود کرد - این کار درب جلویی را برای انتشار ویروس WannaCry می بندد. این کار را می توان از طریق تنظیمات اتصال شبکه یا ویرایشگر رجیستری انجام داد.

راه اول:

1. 1. ویژگی های اتصال مورد استفاده باز است.
2. 2. ویژگی های TCP/IPv4 باز می شود.
3. 3. روی دکمه "Advanced..." کلیک کنید
4. 4. در برگه WINS، تیک "Disable NetBIOS over TCP/IP" را علامت بزنید.

این باید برای همه اتصالات شبکه انجام شود. علاوه بر این، در صورت عدم استفاده از سرویس دسترسی به فایل و چاپگر ارزش آن را دارد - موارد شناخته شده ای وجود دارد که WannaCry از طریق آن به رایانه ضربه می زند.

راه دوم:

1. 1. ویرایشگر رجیستری باز می شود.
2. 2. پارامترهای NetBT را در بخش ControlSet001 ورودی های سیستم جستجو کنید.
3. 3. پارامتر TransportBindName حذف می شود.

در بخش های زیر نیز باید همین کار را انجام داد:

• ControlSet002;
• CurrentControlSet.

پس از اتمام ویرایش، کامپیوتر دوباره راه اندازی می شود. لطفاً توجه داشته باشید که اگر NetBT غیرفعال باشد، سرویس DHCP از کار می افتد.

نتیجه

بنابراین، برای محافظت از خود در برابر انتشار ویروس WannaCry، باید مطمئن شوید که پورت های آسیب پذیر 135 و 445 بسته هستند (برای این کار می توانید از خدمات مختلفی استفاده کنید) یا فایروال را فعال کنید. علاوه بر این، شما باید تمام به روز رسانی های سیستم ویندوز را نصب کنید. برای جلوگیری از حملات بعدی، توصیه می شود همیشه از آخرین نسخه نرم افزار آنتی ویروس استفاده کنید.